نشانه‌های یک جوانه / مروری بر فعالیت‌هایی که در حوزه احراز هویت و امضای دیجیتال در ایران شکل گرفته است

خردادماه ۱۳۹۹ بود که احراز هویت دیجیتال در بورس پا به عرصه وجود گذاشت. با توجه به اینکه پس از آن، نهادهای دیگر هم به سمت دیجیتال‌کردن احراز هویت رفتند، آیا می‌توان به فراگیر شدن این حوزه در سال‌های آینده امیدوار بود؟

نویسنده: مرضیه شمس در تاریخ 2 اردیبهشت سال 1400 ساعت 14:13 0

ماهنامه عصر تراکنش شماره ۴۳ و ۴۴ / تا همین چند سال پیش که استفاده از موبایل، اپلیکیشن‌ها و خدمات اینترنتی هنوز فراگیر نشده بود، کسی هم به فکر ارائه احراز هویت به‌صورت دیجیتالی نبود، اما اکنون نیاز به احراز هویت الکترونیکی گلوگاه خدمات الکترونیکی در بانک‌ها و البته کسب‌وکارها محسوب می‌شود.

سال‌هاست که منتقدان نسبت به پر کردن فرم‌های تکراری در شعب بانک‌ها، کارگزاری و نمایندگی بیمه و حتی کارگزاری‌های بورس و پیشخوان‌های دولت، شهرداری، قوه قضائیه و غیره انتقاد می‌کنند. آنلاین‌شدن فرایندها با شیوع ویروس کرونا از سال گذشته سرعت بیشتری گرفت و اولین جایی هم که نیاز شدید به آنلاین‌شدن را احساس کرد، بازار سرمایه بود که به‌دلیل همزمانی مراجعه زیاد افراد برای ثبت‌نام در بورس و همه‌گیری ویروس کرونا، کسب‌وکارهای مرتبط، شروع به ارائه خدمات احراز هویت آنلاین کردند.

بدین ترتیب خردادماه ۱۳۹۹ احراز هویت دیجیتال در بورس شروع شد و به‌مرور شاهد جدی‌گرفتن این روند توسط نهادهای دیگر بودیم. حالا سازمان امور مالیاتی، سازمان تأمین اجتماعی، قوه قضائیه، بانک‌ها، دولت، بیمه و شرکت‌های سرمایه‌گذاری به این سمت رفته‌اند که از طریق اپلیکیشن‌ها زمینه دسترسی به خدمات را فراهم کنند. به عبارتی برای اینکه مردم از یک خدمت یا سرویس بهره‌مند شوند، دیگر لازم نیست که به‌صورت حضوری به جایی مراجعه کنند؛ بلکه با کمک APIها و ابزارهای هوش مصنوعی از طریق اپلیکیشن‌ها، می‌توانند احراز هویت و تأیید هویت خود را پیش ببرند.

زیرساختی به نام تشکیل هویت

برای اینکه با مسئله احراز هویت ارتباط بیشتری برقرار کنیم، باید در ابتدا مفاهیمی مانند تشکیل هویت، احراز هویت دیجیتال و امضای الکترونیکی را شرح دهیم.

تشکیل هویت بدین معنی است که مدارکی از فرد دریافت و هویت فرد ثبت شود. این تشکیل هویت باید به‌گونه‌ای باشد که در طول سال قدیمی نشود و در واقع زنده بماند، به‌طور مثال اگر از عکس فرد چند سالی بگذرد، قدیمی می‌شود و دوباره به گرفتن عکس جدید نیاز است. تشکیل هویت کمک می‌کند که همیشه یک هویت زنده داشته باشیم.

اجرای این تشکیل هویت معمولاً یک کار حاکمیتی محسوب می‌شود و یک بخش خصوصی نمی‌تواند برای افراد امور مربوط به تشکیل هویت را انجام دهد، اما این بخش می‌تواند احراز هویت را انجام دهد و آن را تسهیل کند. اکنون در ایران این مسئله به‌طور یکپارچه شکل نگرفته است. کارت ملی هوشمند نیز زیرساخت مناسبی برای اجرای این کار بود که به‌طور ناقص انجام شد.

بازی انحصار برای مرکز گواهی الکترونیکی

نکته مهمی که برای تشکیل هویت وجود دارد، مراکز ریشه یا آن نهادهایی هستند که تشکیل هویت را انجام می‌دهند. در ماده ۳۲ قانون تجارت الکترونیکی مبحث گواهی‌کردن یا تصدیق الکترونیکی مطرح شده است. ذیل این ماده آیین‌نامه‌ای وجود دارد که بر اساس آن شورای سیاست‌گذاری گواهی الکترونیکی کشور تعریف شده است. دستگاه‌های مختلفی در دولت مانند قوه قضائیه، بانک مرکزی و حتی بخش خصوصی عضو این شورا هستند. همچنین ذیل شورای سیاست‌گذاری یک مرکز ریشه وجود دارد و ذیل این ریشه نیز تاکنون هفت مرکز گواهی الکترونیکی میانی ایجاد شده است.

وظیفه شورای سیاست‌گذاری، مرکز ریشه و مراکز میانی که زیرساخت امضای الکترونیکی هستند، ارائه خدمات صدور گواهی است. در بخش‌های مختلف کشور نیز مانند کسب‌وکارهای مختلف بانکی، مالی، تجاری و حمل‌ونقلی، حسابداری و حسابرسی از این گواهی استفاده می‌شود.

حالا بحث‌هایی بر سر این موضوع وجود دارد که بانک مرکزی بناست به‌صورت انحصاری موضوع امضای الکترونیکی را در دست بگیرد و شرکت خدمات انفورماتیک با استفاده از اعتبار بانک مرکزی در حال شکل‌دادن انحصاری جدید در این حوزه است. در حالی ‌که اگر نهادهای دیگر چابک عمل کنند و اجازه ندهند قدرت مالی و رگولاتوری و فنی بانک مرکزی و شرکت خدمات انفورماتیک آنها را مقهور کند، قطعاً شاهد شکل‌‌گرفتن نظم درستی در این حوزه خواهیم بود. در غیر این صورت و با خلق انحصار، بار دیگر باید به مدل‌های کسب‌وکار ناسالم سلام کنیم.

به عقیده رضا باقری اصل، دبیر شورای اجرایی فناوری اطلاعات، ایجاد یک مرکز ریشه توسط بانک مرکزی بر خلاف ماده ۳۲ قانون تجارت الکترونیکی است. از نظر او این چندگانگی ریشه‌ها می‌تواند هزینه مضاعفی را برای کشور ایجاد کند.

سرویس‌های ارائه‌شده در احراز هویت دیجیتال

احراز هویت دیجیتال می‌تواند با استفاده از الگوریتم‌هایی مانند تشخیص زنده‌بودن تصویر (Liveness Detection)، تطابق چهره (Face Verification) و یادگیری عمیق (Deep Learning) انجام شود.

اکنون کسب‌وکارهای متفاوتی از احراز هویت ایجاد شده‌اند (چه دولتی و چه خصوصی). به‌عنوان مثال سرویس شاهکار که در آذرماه ۱۳۹۷ توسط سازمان تنظیم و مقررات ارتباطات رادیویی راه‌اندازی شد، وظیفه احراز هویت سرویس‌هایی از قبیل سیم‌کارت‌ها، خطوط ثابت تلفن و اشتراک‌های اینترنت، PAP و SAP، Mobile Wi-Fi و غیره را به عهده دارد. در این سامانه کد ملی کاربر با شماره تلفن همراه او برای محرز کردن هویت تطبیق داده می‌شود. البته بسیاری این راهکار را احراز هویت نمی‌دانند و آن را صرفاً سرویسی برای استعلام تلقی می‌کنند.

سرویس‌های دیگری هم مانند یوآیدی و شاکیلید شکل گرفته‌اند که توانسته‌اند سامانه‌های احراز هویت دیجیتال از قبیل سجام و قوه قضائیه را راه‌اندازی کنند و اپلیکیشن‌هایی مانند آپ، ۷۲۴ و بانک‌های تجارت، پاسارگاد و پارسیان نیز از زیرساخت این شرکت‌ها برای احراز هویت آنلاین سجام استفاده کرده‌اند.

شرکت دانش‌بنیان پارت هم از جمله شرکت‌هایی است که بیش از سه سال است که در حوزه هوش مصنوعی فعالیت می‌کند. ماحصل فعالیت‌های این شرکت، ارائه بیش از ۱۲۰ سرویس هوش مصنوعی از طریق سامانه سهاب است که در اختیار متخصصان هوش مصنوعی و نرم‌افزار قرار داده است.

چندی پیش قوه قضائیه خبر از رونمایی احراز هویت غیرحضوری از طریق سامانه ثنا داد که زیرساخت این سامانه احراز هویت آنلاین توسط شرکت دانش‌بنیان پارت، یوآیدی و اپراتور آی‌تی‌ساز و با هدف تسریع و تسهیل فعالیت‌های الکترونیکی و تکریم مراجعان راه‌اندازی شده است.

تا پیش از این، انجام خدمات الکترونیکی قضایی مشروط به یک بار حضور در دفاتر خدمات قضایی برای انجام فرایند احراز هویت بود، اما با افتتاح زیرساخت احراز هویت آنلاین قوه قضائیه، تمام مراحل ارائه خدمات الکترونیکی قضایی به‌صورت آنلاین و هوشمند انجام می‌شود و مراجعه‌کنندگان به دستگاه قضایی حتی برای انجام فرایند احراز هویت نیز نیازی به مراجعه حضوری به مراجع و مراکز قضایی ندارند.

سطوح احراز هویت برای کسب‌وکارها

اینکه هر کسب‌وکاری چطور و بر اساس چه روشی باید سطح اطمینان هویت لازم برای ارائه خدمات خود را تشخیص و تعیین کند، باید توسط نهاد حاکمیتی در قانون و دستورالعمل‌های مربوطه، مشخص شود. به همین دلیل سطوح احراز هویت در مستند سیاست‌های گواهی الکترونیکی کشور تعیین شده است. در حال حاضر چهار سطح احراز هویت وجود دارد؛ سطح اول همان نام کاربری و رمز عبور است، سطح دوم کمی پیشرفته‌تر است و شامل سرویس‌هایی مانند شاهکار و OTP می‌شود، سطح سوم جایی است که از یک ابزار مانند کارت ملی هوشمند و توکن استفاده می‌شود. در سطح چهارم ویژگی بیومتریک یا امضای الکترونیکی نیز به آن اضافه می‌شود.

این تفکیک سطوح هنوز برای کسب‌وکارها انجام نشده است. علاوه ‌بر این، همه کسب‌وکارها به سطح بالاتر یا چهارم برای احراز هویت که همان احراز هویت بیومتریک و امضای الکترونیکی است، نیاز ندارند. به‌طور مثال کارت ملی هوشمند دارای سطح چهارم احراز هویت است، اما از کاربردهای سطح چهارم آن استفاده نمی‌شود. این در حالی است که این امکان وجود دارد که احراز هویت خدمات بانکی را با همین کارت ملی هوشمند رفع کرد.

بنابراین باید مشخص باشد که کدام کسب‌وکارها برای ارائه کدام‌یک از خدمات خود، می‌توانند از چه سطوحی برای تأیید هویت و شناسایی کاربران، استفاده کنند و هر سطح چه الزامات اجرایی دارد؟

در تحقق امضای دیجیتال

بحث امضای دیجیتال و احراز هویت را باید دو موضوع جدا دانست. فرایندهای احراز هویت در سطوح و ریسک‌های مختلف نیازمند سرویس‌های گواهی احراز هویت و حتی سرویس‌های گواهی امضای دیجیتال هستند.

امضای دیجیتال در حال حاضر پیشرفته‌ترین نوع از امضاهاست و به‌دلیل امنیت بالای آن جایگزین سایر روش‌های موجود شده و بیشتر قانون‌گذاران، از جمله قانون‌گذار تجارت الکترونیکی ایران، این شیوه از امضا را پذیرفته‌اند. امضای دیجیتال مبتنی بر علم رمزنگاری است و از دو نوع الگوریتم به نام‌های کلید عمومی و کلید خصوصی استفاده می‌کند.

در حال حاضر مجموعه شاکیلید بر امضای دیجیتال به‌عنوان یکی از عوامل مؤثر در تعیین هویت، تمرکز کرده است. همچنین شرکت خدمات انفورماتیک و هلدینگ فناوری و شتاب‌دهی نوآوری سپهر اخیراً اکوسیستم امضای دیجیتال بانک صادرات ایران به نام «صاد» را راه‌اندازی کرده‌اند و اولین امضای دیجیتال اشخاص حقیقی در سامانه شمس این بانک صادر و ثبت شده است.

آن‌طور که مدیرعامل بانک صادرات ایران اظهار کرده، سامانه شمس قرار است ۴۵ میلیون کاربر داشته باشد و با ارائه همه خدمات بانکی در سامانه شمس در سال ۱۴۰۱ می‌تواند از اولین شعبه جدید بانک، شعبه‌ای که شکل و شمایل و کارکرد آن با شعب امروزی متفاوت خواهد بود، رونمایی کند.

در خصوص ارائه امضای دیجیتال این نکته خالی از ذکر نیست که عموم مردم یا حتی برخی از فعالان حوزه‌های فناوری هنوز درک صحیح و دقیقی از مفهوم امضای الکترونیکی ندارند. حتی وقتی صحبت از امضای الکترونیکی می‌شود، برخی تصورِ ترسیم یا تصویر دیجیتالی امضای نوشتاری را در ذهن دارند؛ در حالی‌ که امضای الکترونیکی مفهومی بر پایه رمزنگاری و محاسبات کامپیوتری است که از منظر حقوقی و قضایی به همان اندازه امضای نوشتاری یا حتی بیشتر از آن، قابل استناد، امن و مطمئن است؛ بنابراین ضروری است اقداماتی کلان برای آگاهی و فرهنگ‌سازی استفاده از امضای الکترونیکی، توسط متولیان امر انجام شود.

چالش همیشگی نبود قوانین

اکنون بسیاری از کسب‌وکارها در صنعت مالی و بانکی، زیرساخت‌های فناورانه خود را برای ارائه این دست خدمات به‌صورت غیرحضوری و از طریق سازوکارهای شناسایی کامل الکترونیکی، فراهم و پیاده‌سازی کرده‌اند. برخی بانک‌های کشور نیز سازوکار و قابلیت افتتاح حساب بانکی غیرحضوری را برای مشتریان جدید خود پیاده‌سازی و آماده کرده‌اند، اما به‌دلیل محدودیت‌های قانونی و حقوقی، اقدام به ارائه عمومی این خدمات نکرده‌اند؛ بنابراین مسئله در بحث زیرساخت‌های فناوری نیست و به ‌نظر می‌رسد در حوزه فنی مشکلی وجود ندارد.

در حال حاضر مهم‌ترین سند و قانون بالادستی رسمی و موجود در کشور در حوزه هویت دیجیتال و شناسایی الکترونیکی کاربران، سند «نظام هویت معتبر در فضای مجازی کشور» است که در مهرماه ۱۳۹۸ توسط شورای‌ عالی فضای مجازی، تصویب و ابلاغ شد.

این سند با اینکه لازم است، اما کافی نیست. سند «نظام هویت معتبر در فضای مجازی کشور» حاوی یکسری تعاریف کلان در حوزه هویت دیجیتال و شناسایی الکترونیکی متقاضیان خدمات کسب‌وکارهای مختلف در کشور و همچنین ابلاغ یکسری مسئولیت‌ها و وظایف برای سایر نهادهای حاکمیتی به‌منظور تدوین و تهیه سایر الزامات قانونی و اجرایی این حوزه است، اما این موضوعات برای کسب‌وکارها از شفافیت کافی برخوردار نیست.

بیم و امیدهای آینده

تا لحظه نگارش این گزارش، ۲۹ مرکز احراز هویت الکترونیکی در حال ارائه خدمت هستند و بیش از شش میلیون نفر احراز هویت خود را به‌صورت الکترونیکی انجام داده‌اند. البته این احراز هویت شامل احراز هویت بانک‌ها نمی‌شود. با این حال برخی بانک‌ها به سمت افتتاح حساب غیرحضوری و حتی ایجاد پلتفرم‌های مبتنی بر نئوبانک رفته‌اند که همین موضوع گواه بر این است که آنها برای ارائه زیرساخت احراز هویت الکترونیکی آمادگی دارند.

البته همیشه این موضوع اهمیت دارد که ایجاد امنیت برای احراز هویت دیجیتال اولویت هر کسب‌وکاری است. واضح است که هرچقدر سطوح احراز هویت بالاتر رود، امنیت آن هم باید ارتقا یابد. پیش از این شاهد نشت مدارک هویتی کاربران برخی کسب‌وکارها در فضای مجازی بوده‌ایم و همین مسئله توجه به امنیت محل ذخیره داده‌ها را دوچندان می‌کند. با این حال سیاست‌مداران و نهادهای ناظر نباید از اجرایی‌شدن احراز هویت دیجیتال به‌دلیل این مسئله بیم داشته باشند و عطایش را به لقایش ببخشند.

امیدواری برای توسعه این حوزه با یکپارچه‌شدن احراز هویت الکترونیکی بیشتر هم می‌شود. سال ۱۳۹۸ دبیر شورای اجرایی فناوری اطلاعات این نوید را داد که اگر سرویس‌های یکپارچه احراز هویت تکمیل شوند، تا چند سال دیگر می‌توانیم پایلوت‌هایی برای احراز هویت مبتنی بر نظام توزیع‌شدگی و بلاکچینی داشته باشیم؛ بنابراین با فرض فراهم‌شدن این زیرساخت، دور از انتظار نیست که در قرن جدید شاهد توسعه احراز هویت دیجیتال با روش‌های جدید بر بستر بلاکچین هم باشیم.

منبع ماهنامه عصر تراکنش شماره ۴۳ و ۴۴

نویسنده / مترجم مرضیه شمس